FaceID : la fonctionnalité de l’iPhone X est-elle sûre ?

Posté le Sécurité Informatique

FaceID : la nouvelle révolution d’Apple

Dans sa quête pour la perfection du hardware, Apple semble ne pas résister à tester l’équilibre entre rendre les choses simples ou les sécuriser. Alors bien sûr, un mot de passe à 6 chiffres est virtuellement impossible à craquer avant que des essais répétés ne verrouillent le téléphone. Mais cela demande une fraction de seconde parfaitement inacceptable pour effacer ce code et le retaper. Même TouchID a besoin d’un bouton qu’Apple a jugé disgracieux. Donc, dans sa guerre perpétuelle contre les inconvénients, Apple a remplacé le TouchID dans son nouvel iPhone X par FaceID. Ainsi, ce système utilise votre visage comme un mot de passe. Et en cela, le FaceID donne à la non-vérifiée technologie de sécurité biométrique son premier test de terrain à ce jour.

En théorie, FaceID vous demande seulement de regarder votre téléphone et celui-ci vous reconnaît dans la seconde, puis se déverrouille. De plus, FaceID sera intégré à bien plus qu’à l’écran de déverrouillage et agira du téléchargement de nouvelle apps aux paiements avec Apple Pay.

Ainsi, dans la dernière Keynote, Phil Schiller explique: « avec l’iPhone X, votre téléphone est verrouillé jusqu’à ce que vous le regardiez et qu’il vous reconnaisse. Donc rien n’a jamais été aussi simple, naturel et sans effort. Ceci est le futur du déverrouillage de nos smartphones et de la protection de nos données ».

Néanmoins, Apple va devoir surmonter les lacunes du passé. Et FaceID semble améliorer les implémentations précédentes. Mais utiliser votre visage comme seule clé du contenu de votre téléphone présente de gros problèmes, plus difficiles à surmonter.

FaceID Apple iPhone Ten iPhone X Security

Faire face

La reconnaissance faciale a longtemps été connue pour être facile à battre. Ainsi en 2009, des chercheurs en sécurité ont montré qu’ils pouvaient tromper un système de login à reconnaissance facile. En effet, il leur a suffit d’imprimer une photo du propriétaire du login et de la tenir devant la caméra. Et en 2015, Dan Moren de Popular Science a battu un système de reconnaissance faciale en utilisant une vidéo de lui.

Néanmoins, hacker FaceID ne sera pas aussi simple. En effet, l’iPhone X utilise un système infrarouge appelé TrueDepth. Celui-ci projette une grille de 30 000 points de lumière invisibles sur le visage de l’utilisateur. Ensuite une caméra infrarouge capture la distorsion de cette grille pendant que l’utilisateur tourne la tête. En effet, la grille trace une carte 3D du visage de l’utilisateur. C’est une technique similaire à celle utilisée pour digitaliser le visage des acteurs et les transformer en une animation.

Et ce mapping 3D devrait s’avérer bien plus difficile à pirater que les systèmes de reconnaissance faciale précédemment déployés. Mais pas impossible. En effet,  Marc Rogers, un chercheur en sécurité qui avait déjà réussi à usurper le TouchID en est persuadé. Ainsi, il est convaincu que quelqu’un réussira à hacker FaceID, par exemple en imprimant le visage de la victime visée en 3D. Par conséquent, il explique: « dès lors que quelqu’un peut reproduire un visage d’une manière qui peut tromper un ordinateur, alors il y a un problème ».

La reconnaissance faciale : un système pas si sécurisé que ça

Parce qu’après tout, même un système de reconnaissance faciale 3D a déjà été hacké. En effet, il y a deux ans, un laboratoire allemand a utilisé un moule en plâtre du visage d’un sujet test pour battre le système Hello de Microsoft. Ainsi, ce système avait été implémenté dans de nombreuses marques d’ordinateurs et utilisait les mêmes sortes de caméras infrarouges hyper-sensibles. Néanmoins, le groupe n’a pas publié quel type de matériau a été utilisé pour faire le moule. Mais son fondateur a déclaré qu’il imitait non seulement la forme mais aussi les propriétés de la peau. Ainsi, c’est bien plus difficile que de pirater une empreinte de doigt !

Dans la présentation Keynote, il a été suggéré que même ce genre d’usurpation ne marcherait pas avec le FaceID. En effet,  Schiller a montré une photo de masques minutieusement détaillés par un consultant en effet spéciaux d’Hollywood. Et c’est ceci  qu’a utilisé Apple pour tester la fonctionnalité. Néanmoins, Schiller n’a pas non plus dit qu’aucun de ces masques n’avait vaincu le système.

Ainsi de grandes questions restent en suspend à propos de la sécurité du FaceID. Et elles le resteront jusqu’à ce que des chercheurs en sécurité comme Rogers aient une chance de le tester publiquement. En effet, il est possible que le FaceID utilise la reconnaissance d’image basée sur la couleur. Par conséquent, cela nécessiterait n’importe quel visage conçu en simulation pour pirater le système pour être méticuleusement coloré également. Mais sur ce point, Rogers dit  que FaceID pourrait ne pas mesurer les couleurs du tout. En effet, cela requiert du traitement et dépend de variables comme la lumière dans la pièce. Ou votre santé. Ou bien encore votre bronzage. Ainsi, Rogers argumente que « les couleurs n’ajoutent pas autant de valeur que ça, et sont plutôt variables ».

FaceID Apple iPhone Ten iPhone X Security Expert-Com

De plus grandes inquiétudes

Bien qu’il existe des inquiétudes concernant l’approche technologique. La notion même d’utiliser notre visage comme clé de nos secrets digitaux est un problème fondamental. En effet, contrairement à un mot de passe, votre visage ne change pas si facilement. Donc si quelqu’un trouve le moyen de tromper FaceID, il peut le faire quand il veut. Et sans parler du fait d’avoir un vrai jumeau..!

Ensuite, il est difficile de cacher votre visage à quelqu’un qui veut vous forcer à débloquer votre téléphone, comme un voleur ou même un agent de police. En effet, il existe des loi qui vous permettent de ne pas donner votre code de déverrouillage, mais ces lois ne s’appliquent pas à votre visage. Et même si vous devez regarder fixement dans votre iPhone pour le déverrouiller, un policier pourrait facilement vous enfermer jusqu’à ce que vos yeux coopèrent.

Chacun de ces problèmes s’appliquent également pour le TouchID. Mais FaceID présente un souci plus important : votre visage est offert au public et bien représenté dans vos réseaux sociaux. Donc l’utiliser comme clé secrète, c’est un peu comme écrire votre code PIN sur un post-it, le coller sur votre front et partir en balade. Même vos photos sur Facebook ou Instagram pourraient être suffisantes pour compromettre le contrôle de votre visage comme mécanisme d’identification. En effet, l’année dernière des chercheurs ont prouvé qu’il suffisait d’une photo Facebook seulement pour reconstruire le visage en 3D d’une personne. Et ce visage en 3D pouvait vaincre 5 applications de reconnaissance faciales différentes.

Se protéger

Rien de cela ne rend FaceID inutile ou inutilisable, loin de là. Et pour la majorité des détenteurs de l’iPhone, la difficulté de tromper FaceID fera de n’importe quelle attaque une perte d’efforts monumentale. De plus, si vous devez imprimer en 3D le visage de quelqu’un pour battre le FaceID, c’est un risque acceptable à prendre pour une bonne partie de la population !

En outre, pour ceux qui tiennent à leur sécurité, le plus simple est de désactiver FaceID – comme TouchID d’ailleurs. Et le plus simple est en fait de n’activer aucun biométrique.

Mais cette mise en garde , n’est pas une proposition quitte ou double. En effet, vous pouvez activer ou désactiver FaceID pour des applications spécifiques. Ainsi, utilisez-le plutôt pour déverrouiller votre iPhone et pas pour vos paiements. Même s’il n’existe pas de système parfait.

De plus, il y a d’autres preuves qu’Apple reconnaisse les limites du FaceID, avec deux nouvelles fonctionnalités dans iOS 11. Ainsi, la première requiert que l’utilisateur entre le mot de passe du téléphone pour faire confiance à la connexion à un nouvel ordinateur. Par conséquent, il est bien plus difficile d’extraire les data d’un iPhone déverrouillé. L’autre fonctionnalité est un mode SOS qui autorise l’utilisateur à appuyer 5 fois sur le bouton power pour désactiver TouchID ou FaceID.

Ainsi, ces fonctionnalités montrent que même Apple comprend la nécessité d’accumuler des « couches » de sécurité en amont et en aval du FaceID. Mais tous les propriétaires d’iPhone devrait arrêter de s’illusionner en pensant que la reconnaissance faciale de leur téléphone n’est pas un danger pour leur sécurité. Dans le monde de la sécurité, cela veut dire que vous allez devoir accepter certaines conditions. Et si ces conditions signifient que vos plus précieux secrets seront un peu moins sécurisés à chaque fois qu’on vous identifie sur Facebook .. vous devriez peut être considérer à reprendre le mot de passe à la place.

 

Partagez cet article !